tcp-map コマンド～ type echo コマンド

Transcription

1 CHAPTER

2 tcp-map 第 31 章 tcp-map 一連の TCP 正規化アクションを定義するには グローバルコンフィギュレーションモードで tcp-map コマンドを使用します TCP 正規化機能により 異常なパケットを識別する基準を指定できます これにより 異常なパケットが検出されると適応型セキュリティアプライアンスによってドロップされます TCP マップを削除するには このコマンドの no 形式を使用します tcp-map map_name no tcp-map map_name 構文の説明 map_name TCP マップ名を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン この機能では モジュラポリシーフレームワークを使用します 最初に tcp-map コマンドを使用して 実行する TCP 正規化アクションを定義します tcp-map コマンドを実行すると TCP マップコンフィギュレーションモードが開始されます このモードでは TCP 正規化アクションを定義する 1 つ以上のコマンドを入力できます 次に class-map コマンドを使用して TCP マップを適用するトラフィックを定義します policy-map コマンドを入力してポリシーを定義し class コマンドを入力してクラスマップを参照します クラスコンフィギュレーションモードで set connection advanced-options コマンドを入力して TCP マップを参照します 最後に service-policy コマンドを使用して インターフェイスにポリシーマップを適用します モジュラポリシーフレームワークの仕組みの詳細については Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください 次のコマンドを TCP マップコンフィギュレーションモードで使用できます check-retransmission checksum-verification exceed-mss 再転送データのチェックをイネーブルおよびディセーブルにします チェックサムの確認をイネーブルおよびディセーブルにします ピアにより設定された MSS を超過したパケットを許可またはドロップします 31-2

3 第 31 章 tcp-map queue-limit reserved-bits syn-data tcp-options ttl-evasion-protection urgent-flag window-variation TCP 接続のキューに入れることができる順序付けされていないパケットの最大数を設定します このコマンドは ASA 5500 シリーズ適応型セキュリティアプライアンスでのみ使用できます PIX 500 シリーズの適応型セキュリティアプライアンスでは キューに入れられるパケットは 3 つまでで この数は変更できません 適応型セキュリティアプライアンスに予約済みフラグポリシーを設定します データを持つ SYN パケットを許可またはドロップします selective-ack timestamp window-scale の各 TCP オプションを許可または消去します 適応型セキュリティアプライアンスにより提供された TTL 回避保護をイネーブルまたはディセーブルにします 適応型セキュリティアプライアンスを通して URG ポインタを許可または消去します 予想外にウィンドウサイズが変更された接続をドロップします 例 たとえば 既知の FTP データポートと Telnet ポート間の TCP ポートの範囲に送信されるトラフィックすべての緊急フラグおよび緊急オフセットパケットを許可するには 次のコマンドを入力します hostname(config)# tcp-map tmap hostname(config-tcp-map)# urgent-flag allow hostname(config-tcp-map)# class-map urg-class hostname(config-cmap)# match port tcp range ftp-data telnet hostname(config-cmap)# policy-map pmap hostname(config-pmap)# class urg-class hostname(config-pmap-c)# set connection advanced-options tmap hostname(config-pmap-c)# service-policy pmap global 関連コマンド コマンド class( ポリシーマップ ) clear configure tcp-map policy-map show running-config tcp-map tcp-options 説明 トラフィック分類に使用するクラスマップを指定します TCP マップのコンフィギュレーションをクリアします ポリシーを設定します これは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです TCP マップコンフィギュレーションに関する情報を表示します selective-ack timestamp window-scale の各 TCP オプションを許可または消去します 31-3

4 tcp-options 第 31 章 tcp-options 適応型セキュリティアプライアンスを通して TCP オプションを許可または消去するには TCP マップコンフィギュレーションモードで tcp-options コマンドを使用します この指定を削除するには このコマンドの no 形式を使用します tcp-options {selective-ack timestamp window-scale} {allow clear} no tcp-options {selective-ack timestamp window-scale} {allow clear} tcp-options range lower upper {allow clear drop} no tcp-options range lower upper {allow clear drop} 構文の説明 allow clear drop lower selective-ack timestamp upper window-scale TCP ノーマライザを通して TCP オプションを許可します TCP ノーマライザを通して TCP オプションを消去し パケットを許可します パケットをドロップします 下位バインド範囲 (6 ~ 7) および (9 ~ 255) です 選択的な確認応答メカニズム (SACK) オプションを設定します デフォルトでは SACK オプションを許可します timestamp オプションを設定します timestamp オプションを消去すると PAWS および RTT がディセーブルとなります デフォルトでは timestamp オプションを許可します 上位バインド範囲 (6 ~ 7) および (9 ~ 255) です window scale mechanism オプションを設定します デフォルトでは window scale mechanism オプションを許可します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています TCP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 31-4

5 第 31 章 tcp-options 使用上のガイドライン tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます class-map コマンドを使用してトラフィックのクラスを定義し tcp-map コマンドで TCP インスペクションをカスタマイズします policy-map コマンドを使用して 新しい TCP マップを適用します service-policy コマンドで TCP インスペクションをアクティブにします tcp-map コマンドを使用して TCP マップコンフィギュレーションモードを開始します TCP マップコンフィギュレーションモードで tcp-options コマンドを使用して selective-acknowledgement オプション window-scale オプション および timestamp TCP オプションをクリアします また 明確に定義されていないオプションを持つパケットも消去またはドロップできます 例 次の例では TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲にあるすべてのパケットをドロップする方法を示します hostname(config)# access-list TCP extended permit tcp any any hostname(config)# tcp-map tmap hostname(config-tcp-map)# tcp-options range 6 7 drop hostname(config-tcp-map)# tcp-options range drop hostname(config)# class-map cmap hostname(config-cmap)# match access-list TCP hostname(config)# policy-map pmap hostname(config-pmap)# class cmap hostname(config-pmap)# set connection advanced-options tmap hostname(config)# service-policy pmap global 関連コマンド コマンド 説明 class トラフィック分類に使用するクラスマップを指定します policy-map ポリシーを設定します これは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです set connection 接続値を設定します tcp-map TCP マップを作成して TCP マップコンフィギュレーションモードにア クセスできるようにします 31-5

6 telnet 第 31 章 telnet コンソールへの Telnet アクセスを追加して アイドルタイムアウトを設定するには グローバルコンフィギュレーションモードで telnet コマンドを使用します あらかじめ設定された IP アドレスから Telnet アクセスを削除するには このコマンドの no 形式を使用します telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} no telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} 構文の説明 hostname interface_name IP_address IPv6_address mask timeout number 適応型セキュリティアプライアンスの Telnet コンソールにアクセスできるホストの名前を指定します Telnet へのネットワークインターフェイスの名前を指定します 適応型セキュリティアプライアンスへのログインを認可されているホストまたはネットワークの IP アドレスを指定します 適応型セキュリティアプライアンスへのログインを認可されている IPv6 アドレスおよびプレフィクスを指定します IP アドレスに関連付けられているネットマスクを指定します Telnet セッションが適応型セキュリティアプライアンスによって停止されるまでにアイドル状態を維持する時間 ( 分 ) 有効な値は 1 ~ 1440 分です デフォルト デフォルトでは Telnet セッションのアイドル状態が 5 分間続くと 適応型セキュリティアプライアンスによって停止されます 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) 変数 IPv6_address が追加されました また no telnet timeout コマンドも 追加されました 使用上のガイドライン telnet コマンドでは Telnet で適応型セキュリティアプライアンスコンソールにアクセスできるホストを指定できます 適応型セキュリティアプライアンスへの Telnet 接続は すべてのインターフェイスでイネーブルにできます ただし 適応型セキュリティアプライアンスでは 外部インターフェイスへの Telnet トラフィックがすべて 必ず IPSec で保護されます 外部インターフェイスへの Telnet 31-6

7 第 31 章 telnet セッションをイネーブルにするには まず外部インターフェイス上で IPSec が適応型セキュリティアプライアンスの生成する IP トラフィックを含むように設定し 外部インターフェイスで Telnet をイネーブルにします no telnet コマンドを使用すると 以前に設定した IP アドレスから Telnet アクセスが削除されます telnet timeout コマンドを使用すると コンソールの Telnet セッションの最大アイドル時間を設定して その時間が経過すると 適応型セキュリティアプライアンスがログオフするようにできます no telnet コマンドは telnet timeout コマンドとは ともに使用できません IP アドレスを入力した場合 ネットマスクも入力する必要があります デフォルトのネットマスクはありません 内部ネットワークのサブネットワークマスクを使用しないでください netmask は IP アドレスの単なるビットマスクです アクセスを IP アドレス 1 つに制限するには のように各オクテットに 255 を使用します IPSec が動作中の場合に セキュアでないインターフェイス名 ( 通常 外部インターフェイス ) を指定できます telnet コマンドでインターフェイス名を指定するには 少なくとも crypto map コマンドを設定する必要があります passwd コマンドを使用して コンソールへの Telnet アクセスで使用するパスワードを設定します デフォルトは cisco です who コマンドを使用して 現在適応型セキュリティアプライアンスコンソールにアクセスしている IP アドレスを表示します kill コマンドを使用して アクティブな Telnet コンソールセッションを終了します aaa コマンドを console キーワードとともに使用する場合は Telnet コンソールアクセスを認証サーバで認証する必要があります ( 注 ) aaa コマンドを設定して 適応型セキュリティアプライアンス Telnet コンソールアクセスに認証を要求した場合に コンソールログイン要求がタイムアウトしたときは 適応型セキュリティアプライアンスのユーザ名と enable password コマンドで設定したパスワードを入力して シリアルコンソールから適応型セキュリティアプライアンスにアクセスできます 例 次の例では ホスト および が Telnet を通して適応型セキュリティアプライアンスコンソールへのアクセス許可を得る方法を示します さらに ネットワーク上のすべてのホストがアクセスを許可されます hostname(config)# telnet inside hostname(config)# telnet inside hostname(config)# telnet inside hostname(config)# show running-config telnet inside inside inside 次の例では セッションの最大アイドル継続時間を変更する方法を示します hostname(config)# telnet timeout 10 hostname(config)# show running-config telnet timeout telnet timeout 10 minutes 次の例では Telnet コンソールログインセッションを示します ( パスワードは入力時には表示されません ) hostname# passwd: cisco Welcome to the XXX Type help or? for a list of available commands. hostname> 31-7

8 telnet 第 31 章 no telnet コマンドを使用して個々のエントリを削除することも すべての telnet コマンドステートメントを clear configure telnet コマンドで削除することもできます hostname(config)# no telnet inside hostname(config)# show running-config telnet inside inside hostname(config)# clear configure telnet 関連コマンド コマンド 説明 clear configure telnet telnet コンフィギュレーションから Telnet 接続を削除します kill Telnet セッションを終了します show running-config telnet who 適応型セキュリティアプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します 適応型セキュリティアプライアンス上のアクティブな Telnet 管理セッションを表示します 31-8

9 第 31 章 terminal terminal 現在の Telnet セッションで syslog メッセージの表示を許可するには 特権 EXEC モードで terminal monitor コマンドを使用します syslog メッセージの表示をディセーブルにするには このコマンドの no 形式を使用します terminal {monitor no monitor} 構文の説明 monitor no monitor 現在の Telnet セッションで syslog メッセージの表示をイネーブルにします 現在の Telnet セッションで syslog メッセージの表示をディセーブルにします デフォルト Syslog メッセージは デフォルトではディセーブルになっています 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース既存 変更内容このコマンドは既存です 例 次の例は 現在のセッションで syslog メッセージの表示をイネーブルおよびディセーブルにする方法を示します hostname# terminal monitor hostname# terminal no monitor 関連コマンド コマンド clear configure terminal pager show running-config terminal terminal pager terminal width 説明端末の表示幅設定をクリアします Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されます 現在の端末設定を表示します Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されません グローバルコンフィギュレーションモードでの端末の表示幅を設定します 31-9

10 terminal pager 第 31 章 terminal pager Telnet セッションで ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定するには 特権 EXEC モードで terminal pager コマンドを使用します terminal pager [lines] lines 構文の説明 [lines] lines ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定します デフォルトは 24 行です 0 は ページの制限がないことを示します 指定できる範囲は 0 ~ 行です lines キーワードはオプションで 付けても付けなくてもコマンドは同じです デフォルト デフォルトは 24 行です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このコマンドは 現在の Telnet セッションに対してだけ pager line 設定を変更します 新しいデフォルトの pager 設定をコンフィギュレーションに保存するには pager コマンドを使用します 管理コンテキストに Telnet 接続する場合 ある特定のコンテキスト内の pager コマンドに異なる設定があっても 他のコンテキストに移ったときには pager line 設定はユーザのセッションに従います 現在の pager 設定を変更するには 新しい設定で terminal pager コマンドを入力するか pager コマンドを現在のコンテキストで入力します pager コマンドは コンテキストコンフィギュレーションに新しい pager 設定を保存する以外に 新しい設定を現在の Telnet セッションに適用します 例 次に 表示される行数を 20 に変更する例を示します hostname# terminal pager

11 第 31 章 terminal pager 関連コマンド コマンド 説明 clear configure terminal 端末の表示幅設定をクリアします pager Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されます show running-config terminal 現在の端末設定を表示します terminal syslog メッセージが Telnet セッションで表示されるようにします terminal width グローバルコンフィギュレーションモードでの端末の表示幅を設 定します 31-11

12 terminal width 第 31 章 terminal width コンソールセッション中に情報を表示する幅を設定するには グローバルコンフィギュレーションモードで terminal width コマンドを使用します ディセーブルにするには このコマンドの no 形式を使用します terminal width columns no terminal width columns 構文の説明 columns 端末の幅をカラム単位で指定します デフォルトは 80 です 指定できる範囲は 40 ~ 511 です デフォルト デフォルトの表示幅は 80 カラムです 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース既存 変更内容このコマンドは既存です 例 次の例では 端末の表示幅を 100 カラムにする方法を示します hostname# terminal width 100 関連コマンド コマンド clear configure terminal show running-config terminal terminal 説明端末の表示幅設定をクリアします 現在の端末設定を表示します 特権 EXEC モードで端末回線のパラメータを設定します 31-12

13 第 31 章 test aaa-server test aaa-server 適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには 特権 EXEC モードで test aaa-server コマンドを使用します AAA サーバへの到達に失敗する場合 適応型セキュリティアプライアンスのコンフィギュレーションが誤っているか 他の理由 ( ネットワークコンフィギュレーションの制限 またはサーバのダウンタイムなど ) で到達不能になっている可能性があります test aaa-server {authentication server_tag [host ip_address] [username username] [password password] authorization server_tag [host ip_address] [username username]} 構文の説明 authentication authorization host ip_address password password server_tag username username AAA サーバに認証機能があるかどうかをテストします AAA サーバに従来の VPN 認可機能があるかどうかをテストします サーバの IP アドレスを指定します コマンドで IP アドレスが指定されていない場合 入力を求めるプロンプトが表示されます ユーザパスワードを指定します コマンドでパスワードが指定されていない場合 入力を求めるプロンプトが表示されます aaa-server コマンドで設定した AAA サーバタグを指定します AAA サーバコンフィギュレーションのテストに使用されるアカウントのユーザ名を指定します AAA サーバ上にそのユーザ名が存在することを確認します 存在しない場合 テストは失敗します コマンドでユーザ名が指定されていない場合 入力を求めるプロンプトが表示されます デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.0(4) このコマンドが追加されました 使用上のガイドライン test aaa-server コマンドを使用して 適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証できるかどうか また従来の VPN 認可の場合は ユーザを認可できるかどうかを確認できます このコマンドでは 認証または認可を試みる実際のユーザがいなくても AAA サーバをテストできます また AAA が機能しなかった場合 AAA サーバパラメータの設定の誤り AAA サーバへの接続の問題 または適応型セキュリティアプライアンスでのその他のコンフィギュレーションエラーに起因するものかどうかを識別できます 31-13

14 test aaa-server 第 31 章 例 次の例では ホスト に srvgrp1 という名前の RADIUS AAA サーバを設定し タイムアウトを 9 秒に リトライ間隔を 7 秒に 認証ポートを 1650 に設定しています AAA サーバパラメータの設定に続く test aaa-server コマンドは 認証テストがサーバに到達できず失敗したことを示しています hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host hostname(config-aaa-server-host)# timeout 9 hostname(config-aaa-server-host)# retry-interval 7 hostname(config-aaa-server-host)# authentication-port 1650 hostname(config-aaa-server-host)# exit hostname(config)# test aaa-server authentication svrgrp1 Server IP Address or name: Username: bogus Password: mypassword INFO: Attempting Authentication test to IP address < > (timeout: 10 seconds) ERROR: Authentication Rejected: Unspecified 次に test aaa-server コマンドが成功した場合の出力例を示します hostname# test aaa-server authentication svrgrp1 host username bogus password mypassword INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful 関連コマンド コマンド 説明 aaa authentication console 管理トラフィックの認証を設定します aaa authentication match 通過トラフィックの認証を設定します aaa-server AAA サーバグループを作成します aaa-server host AAA サーバをサーバグループに追加します 31-14

15 第 31 章 test dynamic-access-policy attributes test dynamic-access-policy attributes dap アトリビュートモードを開始するには 特権 EXEC モードから test dynamic-access-policy attributes コマンドを入力します これで ユーザとエンドポイントのアトリビュート値ペアを指定できます dynamic-access-policy attributes デフォルト デフォルトの値や動作はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 使用上のガイドライン 通常 適応型セキュリティアプライアンスは AAA サーバからユーザ認可アトリビュートを取得し Cisco Secure Desktop Host Scan CNA または NAC からエンドポイントアトリビュートを取得します test コマンドの場合 ユーザ認可アトリビュートとエンドポイントアトリビュートをこのアトリビュートモードで指定します 適応型セキュリティアプライアンスは これらのアトリビュートを DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュートデータベースに書き込みます この機能を利用して DAP レコードの作成を実験できます 例 次に attributes コマンドの使用例を示します hostname # test dynamic-access-policy attributes hostname(config-dap-test-attr)# 関連コマンド コマンド dynamic-access-policy-record attributes display 説明 DAP レコードを作成します アトリビュートモードに入ります このモードでは ユーザアトリビュート値のペアを指定できます 現在のアトリビュートリストを表示します 31-15

16 test dynamic-access-policy execute 第 31 章 test dynamic-access-policy execute 31-16

17 第 31 章 test regex test regex 正規表現をテストするには 特権 EXEC モードで test regex コマンドを使用します test regex input_text regular_expression 構文の説明 input_text regular_expression 正規表現と照合するテキストを指定します 最大 100 文字の正規表現を指定します 正規表現で使用できるメタ文字のリストについては regex コマンドを参照してください デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン test regex コマンドは 正規表現が一致すべきものと一致するかどうかをテストします 入力したテキストと正規表現が一致すると 次のメッセージが表示されます INFO: Regular expression match succeeded. 入力したテキストと正規表現が一致しない場合は 次のメッセージが表示されます INFO: Regular expression match failed. 例 次の例は 入力したテキストと正規表現が一致するかどうかをテストします hostname# test regex farscape scape INFO: Regular expression match succeeded. hostname# test regex farscape scaper INFO: Regular expression match failed

18 test regex 第 31 章 関連コマンド コマンド 説明 class-map type inspect アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します policy-map トラフィッククラスを 1 つ以上のアクションと関連付けることによって ポリシーマップを作成します policy-map type inspect アプリケーションインスペクションの特別なアクションを定義します class-map type regex 正規表現クラスマップを作成します regex 正規表現を作成します 31-18

19 第 31 章 test sso-server test sso-server テスト認証要求で SSO サーバをテストするには 特権 EXEC モードで test sso-server コマンドを使用します test sso-server server-name username user-name 構文の説明 server-name user-name テストされる SSO サーバの名前を指定します テストされる SSO サーバ上のユーザ名を指定します デフォルト デフォルトの値や動作はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム config-webvpn config-webvpn-sso-saml config-webvpn-sso-siteminder グローバルコンフィギュレー ションモード 特権 EXEC コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 使用上のガイドライン シングルサインオンは WebVPN でのみサポートされています これにより ユーザはユーザ名とパスワードを一度だけ入力すれば 別のサーバでさまざまなセキュアなサービスにアクセスできます test sso-server コマンドは SSO サーバが認識されるかどうか および認証要求に応答するかどうかをテストします server-name 引数により指定された SSO サーバが検出されない場合は 次のエラーが表示されます ERROR: sso-server server-name does not exist SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合 認証は拒否されます 認証では 適応型セキュリティアプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します 適応型セキュリティアプライアンスは現在 SiteMinder SSO サーバ ( 以前の Netegrity SiteMinder) と SAML POST タイプの SSO サーバをサポートしています このコマンドは SSO サーバの両タイプに適用されます 31-19

20 test sso-server 第 31 章 例 特権 EXEC モードで入力された次の例では my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用してテストに成功しています hostname# test sso-server my-sso-server username Anyuser INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser INFO: STATUS: Success hostname# 次の例は同じサーバのテストを示していますが Anotheruser というユーザ名は認識されず 認証は失敗しています hostname# test sso-server my-sso-server username Anotheruser INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser INFO: STATUS: Failed hostname# 関連コマンド コマンド 説明 max-retry-attempts 適応型セキュリティアプライアンスが 失敗した SSO 認証を再試行する回数を設定します policy-server-secret SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します request-timeout SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します show webvpn sso-server セキュリティデバイスに設定されているすべての SSO サーバの運用統計情報を表示します sso-server シングルサインオンサーバを作成します web-agent-url 適応型セキュリティアプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します 31-20

21 第 31 章 text-color text-color ログインページ ホームページ およびファイルアクセスページの WebVPN タイトルバーのテキストに色を設定するには webvpn モードで text-color コマンドを使用します テキストの色をコンフィギュレーションから削除してデフォルトにリセットするには このコマンドの no 形式を使用します text-color [black white auto] no text-color 構文の説明 auto black white secondary-color コマンドの設定に基づいて黒または白を選択します つまり 2 番めの色が黒の場合 この値は白となります タイトルバーのテキストのデフォルト色は白です 色を黒に変更できます デフォルト タイトルバーのテキストのデフォルト色は白です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム webvpn コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 例 次の例では タイトルバーのテキストの色を黒に設定する方法を示します hostname(config)# webvpn hostname(config-webvpn)# text-color black 関連コマンド コマンド 説明 secondary-text-color WebVPN ログインページ ホームページ およびファイルアクセスペー ジの 2 番めのテキストの色を設定します 31-21

22 tftp-server 第 31 章 tftp-server configure net コマンド または write net コマンドで使用するデフォルトの TFTP サーバおよびパスとファイル名を指定するには グローバルコンフィギュレーションモードで tftp-server コマンドを使用します サーバコンフィギュレーションを削除するには このコマンドの no 形式を使用します このコマンドは IPv4 および IPv6 のアドレスをサポートします tftp-server interface_name server filename no tftp-server [interface_name server filename] 構文の説明 filename interface_name server パスとファイル名を指定します ゲートウェイインターフェイス名を指定します 最も安全なセキュリティインターフェイス以外のインターフェイスを指定した場合 このインターフェイスがセキュアでないことを示す警告メッセージが表示されます TFTP サーバの IP アドレスまたは名前を設定します IPv4 アドレスまたは IPv6 アドレスを入力できます デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) 現在ではゲートウェイインターフェイスが必要です 使用上のガイドライン tftp-server コマンドを使用すると configure net コマンドと write net コマンドの入力が容易になります configure net コマンドや write net コマンドを入力するとき tftp-server コマンドで指定した TFTP サーバを継承するか 独自の値を指定できます また tftp-server コマンドのパスをそのまま継承したり tftp-server コマンド値の末尾にパスとファイル名を追加したり tftp-server コマンド値を上書きすることもできます 適応型セキュリティアプライアンスがサポートする tftp-server コマンドは 1 つだけです 例 次の例では TFTP サーバを指定し コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します hostname(config)# tftp-server inside /temp/config/test_config hostname(config)# configure net 31-22

23 第 31 章 tftp-server 関連コマンド コマンド 説明 configure net 指定した TFTP サーバおよびパスから コンフィギュレーションをロードします show running-config tftp-server デフォルトの TFTP サーバアドレスとコンフィギュレーションファイルのディレクトリを表示します 31-23

24 tftp-server address 第 31 章 tftp-server address クラスタにある TFTP サーバを指定するには Phone-Proxy コンフィギュレーションモードで tftp-server address コマンドを使用します TFTP サーバを Phone Proxy コンフィギュレーションから削除するには このコマンドの no 形式を使用します tftp-server address ip_address [port] interface interface no tftp-server address ip_address [port] interface interface 構文の説明 ip_address interface interface port TFTP サーバのアドレスを指定します TFTP サーバを格納するインターフェイスを指定します TFTP サーバの実際のアドレスである必要があります ( 任意 )TFTP サーバが TFTP リクエストを受信するポートです デフォルトの TFTP ポート 69 を使用しない場合は このポートを設定する必要があります デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています Phone-Proxy コンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(4) このコマンドが追加されました 使用上のガイドライン Phone Proxy には 設定済みの CUCM TFTP サーバが少なくとも 1 台は必要です TFTP サーバは Phone Proxy に 5 台まで設定できます TFTP サーバは 信頼できるネットワークのファイアウォールの背後にあると見なされます そのため Phone Proxy は IP 電話と TFTP サーバ間のリクエストを代行受信します TFTP サーバは CUCM と同じインターフェイス上に存在する必要があります 内部 IP アドレスを使用して TFTP サーバを作成し TFTP サーバが存在するインターフェイスを指定します IP 電話で TFTP サーバの IP アドレスを次のように設定する必要があります NAT が TFTP サーバ用に設定されている場合は TFTP サーバのグローバル IP アドレスを使用します NAT が TFTP サーバ用に設定されていない場合は TFTP サーバの内部 IP アドレスを使用します 31-24

25 第 31 章 tftp-server address サービスポリシーがグローバルに適用されている場合は すべての入力インターフェイス上の TFTP サーバに到達する TFTP トラフィックの送信先を指定する分類ルールが作成されます ただし TFTP サーバが存在するインターフェイスは除きます サービスポリシーが特定のインターフェイスに適用されている場合は そのインターフェイス上の TFTP サーバに到達する TFTP トラフィックをすべて Phone-Proxy モジュールに送信する分類ルールが作成されます NAT を TFTP サーバ用に設定する場合 分類ルールのインストール時に TFTP サーバのグローバルアドレスを使用するためには その NAT の設定をサービスポリシーを適用する前に行う必要があります 例 次の例は 2 台の TFTP サーバを Phone Proxy 用に設定する tftp-server address コマンドの使用方法を示します hostname(config)# phone-proxy asa_phone_proxy hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# media-termination address interface inside hostname(config-phone-proxy)# media-termination address interface outside hostname(config-phone-proxy)# tls-proxy asa_tlsp hostname(config-phone-proxy)# ctl-file asactl hostname(config-phone-proxy)# cluster-mode nonsecure 関連コマンド コマンド 説明 phone-proxy Phone Proxy インスタンスを設定します 31-25

26 threat-detection basic-threat 第 31 章 threat-detection basic-threat 基本脅威検出をイネーブルにするには グローバルコンフィギュレーションモードで threat-detection basic-threat コマンドを使用します 基本脅威検出をディセーブルにするには このコマンドの no 形式を使用します threat-detection basic-threat no threat-detection basic-threat 構文の説明 このコマンドには 引数またはキーワードはありません デフォルト 基本脅威検出はデフォルトでイネーブルになっています 次のデフォルトレート制限が使用されます 表 31-1 基本脅威検出のデフォルト設定 パケットドロップの理由 DoS 攻撃を検出 パケット形式が不良 接続制限値を超過 疑わしい ICMP パケットを検出 トリガー設定平均レート 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 80 ドロップ / 秒 スキャン攻撃を検出直前の 600 秒間で 5 ドロップ / 秒 直前の 3600 秒間で 4 ドロップ / 秒 TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出 ( 複合 ) アクセスリストによる拒否 基本ファイアウォール検査に不合格 パケットがアプリケーションインスペクションに不合格インターフェイス過負荷 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 80 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 320 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 320 ドロップ / 秒 直前の 600 秒間で 2000 ドロップ / 秒 直前の 3600 秒間で 1600 ドロップ / 秒 バーストレート 直前の 10 秒間で 400 ドロップ / 秒 直前の 60 秒間で 320 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 60 秒間で 8 ドロップ / 秒 直前の 10 秒間で 200 ドロップ / 秒 直前の 60 秒間で 160 ドロップ / 秒 直前の 10 秒間で 800 ドロップ / 秒 直前の 60 秒間で 640 ドロップ / 秒 直前の 10 秒間で 1600 ドロップ / 秒 直前の 60 秒間で 1280 ドロップ / 秒 直前の 10 秒間で 8000 ドロップ / 秒 直前の 60 秒間で 6400 ドロップ / 秒 31-26

27 第 31 章 threat-detection basic-threat 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 使用上のガイドライン 基本脅威検出をイネーブルにすると 適応型セキュリティアプライアンスは次の理由により ドロップパケットとセキュリティイベントのレートをモニタします アクセスリストによる拒否 不良パケット形式 (invalid-ip-header や invalid-tcp-hdr-length など ) 接続制限超過 ( システム全体のリソース制限およびコンフィギュレーションで設定される制限の両方 ) DoS 攻撃を検出 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) 基本ファイアウォール検査に不合格 ( このオプションは ここで列挙するファイアウォールに関連したパケットドロップすべてを含む複合レートです インターフェイスの過負荷 アプリケーションインスペクションで不合格になったパケット および検出されたスキャン攻撃など ファイアウォールに関連しないドロップは含まれません ) 疑わしい ICMP パケットを検出 パケットがアプリケーションインスペクションに不合格 インターフェイス過負荷 スキャン攻撃を検出 ( このオプションでは たとえば最初の TCP パケットが SYN パケットでない またはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします 完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) では このスキャン攻撃レートの情報を取得し その情報に基づき たとえばホストを攻撃者に分類して自動的に遮断するなどの方法で対処します ) TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出適応型セキュリティアプライアンスは 脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します 基本脅威検出は ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します このようなシナリオでも パフォーマンスへの影響はわずかです デフォルト の項の表 31-1 に デフォルト設定の一覧を示します すべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できます イベントのタイプごとのデフォルト設定は threat-detection rate コマンドを使用して上書きできます 31-27

28 threat-detection basic-threat 第 31 章 イベントレートが超過すると 適応型セキュリティアプライアンスはシステムメッセージを送信します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します バーストイベントレートは 平均レート間隔の 30 分の 1 または 10 秒のうち いずれか大きい方の値です 受信するイベントごとに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします 両方のレートが超過している場合 適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します 例 次の例では 基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンド コマンド 説明 clear threat-detection rate 基本脅威検出の統計情報をクリアします show running-config all threat-detection show threat-detection rate threat-detection rate threat-detection scanning-threat 脅威検出コンフィギュレーションを表示します 個別にレート設定をしていない場合はデフォルトのレート設定も表示されます 基本脅威検出の統計情報を表示します イベントタイプごとの脅威検出レート制限を設定します 脅威検出のスキャンをイネーブルにします 31-28

29 第 31 章 threat-detection rate threat-detection rate threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は グローバルコンフィギュレーションモードで threat-detection rate コマンドを使用して 各イベントタイプのデフォルトレート制限を変更できます threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合 scanning-threat キーワードを指定してこのコマンドを使用し ホストを攻撃者またはターゲットと見なす時期を設定することもできます 設定しない場合 基本脅威検出およびスキャン脅威検出の両方でデフォルトの scanning-threat 値が使用されます デフォルト設定に戻すには このコマンドの no 形式を使用します threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate no threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate 構文の説明 acl-drop アクセスリストの拒否が原因でドロップされるパケットのレート制限を設定します average-rate av_rate 0 ~ の範囲で平均レート制限 ( ドロップ / 秒 ) を設定します bad-packet-drop 不良パケット形式 (invalid-ip-header または invalid-tcp-hdr-length など ) による拒否が原因でドロップされるパケットのレート制限を設定します burst-rate burst_rate 0 ~ の範囲でバーストレート制限 ( ドロップ / 秒 ) を設定します バーストレートは N 秒ごとの平均レートとして計算されます N はバーストレート間隔です バーストレート間隔は rate-interval rate_interval 値の 30 分の 1 または 10 秒のうち いずれか大きい方の値です conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop rate-interval rate_interval 接続制限 ( システム全体のリソース制限とコンフィギュレーションで設定された制限の両方 ) の超過が原因で ドロップされるパケットのレート制限を設定します DoS 攻撃 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) の検出が原因で ドロップされるパケットのレート制限を設定します 基本ファイアウォールチェックの失敗が原因で ドロップされるパケットのレート制限を設定します このオプションは このコマンドのファイアウォールに関連したパケットドロップをすべて含む複合レートです interface-drop inspect-drop scanning-threat など ファイアウォールに関連しないドロップレートは含まれません 疑わしい ICMP パケットの検出が原因で ドロップされるパケットのレート制限を設定します アプリケーションインスペクションでの不合格が原因でドロップされるパケットのレート制限を設定します インターフェイスの過負荷が原因で ドロップされるパケットのレート制限を設定します 600 秒 ~ 秒 (30 日 ) の範囲で平均レート間隔を設定します レート間隔は ドロップ数の平均値を求めるときの期間を決定するために使用されます また バーストしきい値レート間隔も決定します 31-29

30 threat-detection rate 第 31 章 scanning-threat syn-attack スキャン攻撃の検出が原因で ドロップされるパケットのレート制限を設定します このオプションでは たとえば最初の TCP パケットが SYN パケットでない またはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします 完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) では このスキャン攻撃レートの情報を取得し その情報をもとにして たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションが原因で ドロップされるパケットのレート制限を設定します デフォルト threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は 次のデフォルトレート制限が使用されます 表 31-2 基本脅威検出のデフォルト設定 トリガー設定 パケットドロップの理由 dos-drop bad-packet-drop conn-limit-drop icmp-drop 平均レート直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 100 ドロップ / 秒 scanning-threat 直前の 600 秒間で 5 ドロップ / 秒 直前の 3600 秒間で 5 ドロップ / 秒 syn-attack acl-drop fw-drop inspect-drop interface-drop 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 100 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 400 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 400 ドロップ / 秒 直前の 600 秒間で 2000 ドロップ / 秒 直前の 3600 秒間で 2000 ドロップ / 秒 バーストレート 直前の 10 秒間で 400 ドロップ / 秒 直前の 60 秒間で 400 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 60 秒間で 10 ドロップ / 秒 直前の 10 秒間で 200 ドロップ / 秒 直前の 60 秒間で 200 ドロップ / 秒 直前の 10 秒間で 800 ドロップ / 秒 直前の 60 秒間で 800 ドロップ / 秒 直前の 10 秒間で 1600 ドロップ / 秒 直前の 60 秒間で 1600 ドロップ / 秒 直前の 10 秒間で 8000 ドロップ / 秒 直前の 60 秒間で 8000 ドロップ / 秒 次の表は このコマンドを入力できるモードを示しています 31-30

31 第 31 章 threat-detection rate グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 使用上のガイドライン イベントタイプごとに異なるレート間隔を最大 3 つまで設定することができます 基本脅威検出をイネーブルにすると 適応型セキュリティアプライアンスは 構文の説明 の表に説明があるイベントタイプにより ドロップパケットとセキュリティイベントのレートをモニタします 適応型セキュリティアプライアンスは 脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します 基本脅威検出は ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します このようなシナリオでも パフォーマンスへの影響はわずかです デフォルト の項の表 31-2 に デフォルト設定の一覧を示します すべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できます イベントレートが超過すると 適応型セキュリティアプライアンスはシステムメッセージを送信します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します 受信するイベントごとに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします 両方のレートが超過している場合 適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します 例 次の例では 基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンド コマンド clear threat-detection rate show running-config all threat-detection show threat-detection rate threat-detection basic-threat threat-detection scanning-threat 説明基本脅威検出の統計情報をクリアします 脅威検出コンフィギュレーションを表示します 個別にレート設定をしていない場合はデフォルトのレート設定も表示されます 基本脅威検出の統計情報を表示します 基本脅威検出をイネーブルにします 脅威検出のスキャンをイネーブルにします 31-31

32 threat-detection scanning-threat 第 31 章 threat-detection scanning-threat スキャン脅威検出をイネーブルにする場合は グローバルコンフィギュレーションモードで threat-detection scanning-threat コマンドを使用します スキャン脅威検出をディセーブルにする場合は このコマンドの no 形式を使用します threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] no threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] 構文の説明 duration seconds except ip-address ip_address mask object-group network_object_group_id shun 攻撃元ホストに対する遮断の継続時間を 10 ~ 秒の範囲で設定します デフォルトは 3600 秒 (1 時間 ) です 排除対象から IP アドレスを除外します このコマンドを複数回入力して 排除対象から除外する複数の IP アドレスまたはネットワークオブジェクトグループを指定します 排除対象から除外する IP アドレスを指定します 排除対象から除外するネットワークオブジェクトグループを指定します オブジェクトグループを作成するには object-group network コマンドを参照してください 適応型セキュリティアプライアンスがホストを攻撃者であると識別すると syslog メッセージ を送信し さらにホスト接続を自動的に終了します デフォルト デフォルトの遮断の継続時間は 3600 秒 (1 時間 ) です スキャン攻撃イベントでは 次のデフォルトレート制限が適用されます 表 31-3 スキャン脅威検出のデフォルトレート制限 平均レート バーストレート 直前の 600 秒間で 5 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 3600 秒間で 5 ドロップ / 秒 直前の 60 秒間で 10 ドロップ / 秒 31-32

33 第 31 章 threat-detection scanning-threat 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.0(4) duration キーワードが追加されました 使用上のガイドライン 一般的なスキャン攻撃は ( サブネット内の多くのホストを経由してスキャンするか ホストまたはサブネットの多くのポートを経由してスイープすることにより ) サブネット内のすべての IP アドレスのアクセス可能性をテストするホストで構成されています スキャン脅威検出機能では ホストがいつスキャンを実行するか判定します トラフィックシグニチャに基づく IPS スキャン検出とは異なり適応型セキュリティアプライアンスのスキャン脅威検出機能では スキャン作業用に分析可能なホストの統計情報を含む広範なデータベースを保持しています ホストのデータベースは 戻りアクティビティのない接続 閉じているサービスポートへのアクセス 非ランダム IPID などの危険な TCP 動作など 疑わしいアクティビティを追跡します 注意 スキャン脅威検出機能は ホストおよびサブネットベースのデータ構造と情報を作成し収集する間 適応型セキュリティアプライアンスのパフォーマンスとメモリに大きな影響を与える可能性があります 適応型セキュリティアプライアンスを設定して攻撃者に関するシステムログメッセージを送信するか またはホストを自動的に排除することができます デフォルトでは ホストが攻撃者として識別されると システムログメッセージ が生成されます 適応型セキュリティアプライアンスは スキャン脅威のイベントレートが超過したら 攻撃者およびターゲットを識別します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します スキャン攻撃の一部と考えられるイベントが検出されるたびに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします ホストから送信されたトラフィックでいずれかのレートが超過していると そのホストは攻撃者と見なされます ホストが受信したトラフィックでいずれかのレートが超過していると そのホストはターゲットと見なされます スキャン脅威イベントのレート制限は threat-detection rate scanning-threat コマンドを使用して変更できます 攻撃者またはターゲットに分類されたホストを表示するには show threat-detection scanning-threat コマンドを使用します 排除されたホストを表示するには show threat-detection shun コマンドを使用します 排除対象からホストを除外するには clear threat-detection shun コマンドを使用します 例 次の例では スキャン脅威検出をイネーブルにし 攻撃者として分類されたホストを自動的に排除します ( ネットワークのホストを除く ) スキャン脅威検出のデフォルトレート制限も変更されています 31-33

34 threat-detection scanning-threat 第 31 章 hostname(config)# threat-detection scanning-threat shun except ip-address hostname(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20 hostname(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20 関連コマンド コマンド 説明 clear threat-detection shun 排除対象からホストを除外します show threat-detection 攻撃者またはターゲットとして分類されたホストを表示します scanning-threat show threat-detection shun 現在排除されているホストを表示します threat-detection basic-threat 基本脅威検出をイネーブルにします threat-detection rate イベントタイプごとの脅威検出レート制限を設定します 31-34

35 第 31 章 threat-detection statistics threat-detection statistics 高度なスキャン脅威検出の統計情報をイネーブルにするには グローバルコンフィギュレーションモードで threat-detection statistics コマンドを使用します 高度なスキャン脅威検出の統計情報をディセーブルにするには このコマンドの no 形式を使用します 注意 統計情報をイネーブルにすると イネーブルにする統計情報のタイプに応じて 適応型セキュリティアプライアンスのパフォーマンスが影響を受けます threat-detection statistics host コマンドはパフォーマンスに著しく影響を与えるため トラフィックの負荷が高くなることがある場合は このタイプの統計情報を一時的にイネーブルすることを検討します 一方 threat-detection statistics port コマンドによる影響はそれほど大きくありません threat-detection statistics [access-list [host port protocol [number-of-rate {1 2 3}] tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] no threat-detection statistics [access-list host port protocol tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] 構文の説明 access-list ( 任意 ) アクセスリスト拒否の統計情報をイネーブルにします アク セスリスト統計情報は show threat-detection top access-list コマン ドを使用するときだけ表示されます average-rate attacks_per_sec burst-rate attacks_per_sec host number-of-rate {1 2 3} port protocol ( 任意 )TCP 代行受信の場合 syslog メッセージ生成の平均レートしきい値を 25 ~ の範囲で設定します デフォルトは 1 秒あたり 200 です 平均レートを超えると syslog メッセージ が生成されます ( 任意 )TCP 代行受信の場合 syslog メッセージ生成のしきい値を 25 ~ の範囲で設定します デフォルトは 1 秒あたり 400 です このバーストレートを超えると syslog メッセージ が生成されます ( 任意 ) ホスト統計情報をイネーブルにします ホスト統計情報は ホストがアクティブで スキャン脅威ホストデータベース内にある限り累積します ホストは 非アクティブな時間が 10 分を過ぎるとデータベースから削除されます ( 統計情報は消去されます ) ( 任意 ) ホスト ポート プロトコルの統計情報に対して維持されるレート間隔の数を設定します デフォルトのレート間隔の数は 1 で これによりメモリ使用量を少なく保ちます レート間隔をさらに表示するには 値を 2 または 3 に設定します たとえば 値を 3 に設定すると 直前の 1 時間 8 時間および 24 時間のデータが表示されます このキーワードを 1( デフォルト値 ) に設定すると 最短のレート間隔の統計情報だけが維持されます 値を 2 に設定すると 2 つの最短の間隔が保持されます ( 任意 ) ポート統計情報をイネーブルにします ( 任意 ) プロトコル統計情報をイネーブルにします 31-35

36 threat-detection statistics 第 31 章 rate-interval minutes tcp-intercept ( 任意 )TCP 代行受信の場合 履歴モニタリングウィンドウのサイズを 1 ~ 1440 分の範囲で設定します デフォルトは 30 分です この間に 適応型セキュリティアプライアンスが攻撃をサンプリングする回数は 30 回です ( 任意 )TCP 代行受信によって代行受信された攻撃に関する統計情報をイネーブルにします TCP 代行受信をイネーブルにするには set connection embryonic-conn-max command コマンド あるいは nat あるいは static コマンドを参照してください デフォルト アクセスリスト統計情報は デフォルトでイネーブルになっています このコマンドでオプションを何も指定しないと すべてのオプションがイネーブルになります デフォルトの tcp-intercept rate-interval は 30 分です デフォルトの burst-rate は 1 秒あたり 400 です デフォルトの average-rate は 1 秒あたり 200 です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト 1 1. マルチコンテキストモードでは TCP 代行受信の統計情報のみサポートされます システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.0(4)/8.1(2) tcp-intercept キーワードが追加されました 8.1(2) number-of-rates キーワードがホスト統計情報用に追加され レート数の デフォルト値が 3 から 1 に変更されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 8.3(1) number-of-rates キーワードがポートとプロトコルの統計情報用に追加さ れ レート数のデフォルト値が 3 から 1 に変更されました 使用上のガイドライン このコマンドでオプションを何も指定しないと すべての統計情報がイネーブルになります 特定の統計情報のみイネーブルにするには 統計の種類ごとにこのコマンドを入力します また オプションなしでこのコマンドを入力しないでください threat-detection statistics を ( オプションなしで ) 入力し 次に統計情報固有のオプションを指定してコマンドを入力することで特定の統計情報をカスタマイズできます (threat-detection statistics host number-of-rate 2 など ) threat-detection statistics を ( オプションなしで ) 入力し 次に特定の統計情報用のコマンドを統計情報固有のオプションなしで入力した場合は すでにイネーブルになっているため そのコマンドは効果がないものとなります このコマンドの no 形式を入力した場合 threat-detection statistics コマンドはすべて削除されます その中には デフォルトでイネーブルとなっている threat-detection statistics access-list コマンドも含まれます 31-36

37 第 31 章 threat-detection statistics show threat-detection statistics コマンドを使用して 統計情報を表示します スキャン脅威検出は threat-detection scanning-threat コマンドを使用して イネーブルにする必要はありません 検出と統計情報は別々に設定できます 例 次の例では ホストを除くすべてのタイプで スキャン脅威検出とスキャン脅威統計情報をイネーブルにします hostname(config)# threat-detection scanning-threat shun except ip-address hostname(config)# threat-detection statistics access-list hostname(config)# threat-detection statistics port hostname(config)# threat-detection statistics protocol hostname(config)# threat-detection statistics tcp-intercept 関連コマンド コマンド 説明 threat-detection scanning-threat 脅威検出のスキャンをイネーブルにします show threat-detection statistics host ホストの統計情報を表示します show threat-detection memory 高度な脅威検出の統計情報のメモリ使用を表示します show threat-detection statistics port ポートの統計情報を表示します show threat-detection statistics protocol プロトコルの統計情報を表示します show threat-detection statistics top 上位 10 位までの統計情報を表示します 31-37

38 threshold 第 31 章 threshold SLA モニタリング動作のしきい値超過イベントの基準となるしきい値を設定するには SLA モニタコンフィギュレーションモードで threshold コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します threshold milliseconds no threshold 構文の説明 milliseconds 宣言する上限値をミリ秒で指定します 有効な値は 0 ~ です タイムアウト値に設定された値より大きな値を指定できません デフォルト デフォルトのしきい値は 5000 ミリ秒です 次の表は このコマンドを入力できるモードを示しています SLA モニタコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン しきい値は しきい値超過イベントを示すためだけに使われます このイベントは 到達可能性には影響しませんが timeout コマンドの設定が正しいかどうかを評価するために使用できます 例 次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています SLA 動作の頻度を 10 秒 しきい値を 2500 ミリ秒 タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-38

39 第 31 章 threshold 関連コマンド コマンド 説明 sla monitor SLA モニタリング動作を定義します timeout SLA 動作が応答を待機する期間を定義します 31-39

40 ticket 第 31 章 ticket Cisco Intercompany Media Engine プロキシ用にチケットエポックとパスワードを設定するには UC-IME コンフィギュレーションモードで ticket コマンドを使用します プロキシからコンフィギュレーションを削除するには このコマンドの no 形式を使用します ticket epoch n password password no ticket epoch n password password 構文の説明 n password パスワードの完全性チェックの時間間隔を設定します 1 ~ 255 の整数を入力します Cisco Intercompany Media Engine チケットのパスワードを設定します US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で 入力します 入力可能な文字は 0x21 ~ 0x73 までで 空白文字は含まれません 一度に設定できるパスワードは 1 つだけです デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています UC-IME コンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.3(1) このコマンドが追加されました 使用上のガイドライン Cisco Intercompany Media Engine 用にチケットエポックとパスワードを設定します エポックには パスワードを変更するたびに更新される整数が含まれます プロキシが初めて設定される場合で 最初のパスワードが入力されると エポックの整数に 1 が入力されます パスワードを変更するたびに エポックを増加させ新しいパスワードであることを示します パスワード更新時ごとに エポック値を増加する必要があります 一般的には エポックは連続的に増加させますが 適応型セキュリティアプライアンスでは エポック更新時に任意の値を選ぶことができます エポック値を変更する場合は 現在のパスワードが無効となり 新しいパスワードを入力する必要があります パスワードは 20 文字以上にすることを推奨します 一度に設定できるパスワードは 1 つだけです 31-40

41 第 31 章 ticket チケットパスワードはフラッシュに格納されます show running-config uc-ime コマンドの出力は パスワードの文字列の代わりに ***** と表示されます ( 注 ) 適応型セキュリティアプライアンスで設定したエポックとパスワードは Cisco Intercompany Media Engine サーバで設定したエポックとパスワードと一致する必要があります 情報は Cisco Intercompany Media Engine サーバマニュアルを参照してください 例 次の例は Cisco Intercompany Media Engine プロキシでチケットとエポックを設定する方法を示します hostname(config)# uc-ime local_uc-ime_proxy hostname(config-uc-ime)# media-termination ime-media-term hostname(config-uc-ime)# ucm address trunk-security-mode non-secure hostname(config-uc-ime)# ticket epoch 1 password password1234 hostname(config-uc-ime)# fallback monitoring timer 120 hostname(config-uc-ime)# fallback hold-down timer 30 関連コマンド コマンド 説明 show running-config uc-ime Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します uc-ime Cisco Intercompany Media Engine プロキシインスタンスを適応型セキュリティアプライアンスに作成します 31-41

42 timeout 第 31 章 timeout 各種機能にアイドル状態のグローバル最大継続時間を設定するには グローバルコンフィギュレーションモードで timeout コマンドを使用します すべてのタイムアウトをデフォルトに設定するには このコマンドの no 形式を使用します 単一の機能をデフォルト設定にリセットするには デフォルト値で timeout コマンドを再入力します timeout {xlate conn udp icmp rpc h225 h323 mgcp mgcp-pat sip sip-disconnect sip-invite sip_media sip-provisional-media tcp-proxy-reassembly} hh:mm:ss timeout uauth hh:mm:ss [absolute inactivity] no timeout 構文の説明 absolute ( 任意 )uauth タイムアウトになった場合 再認証を求めます デフォルトでは absolute キーワードがイネーブルになっています 無活動状態が一定時間継続した後にタイムアウトになるように uauth タイマーを設定するには このキーワードの代わりに inactivity キーワードを入力します conn ( 任意 ) 接続が終了するまでのアイドル時間を指定します 有効な値は 0:05:0 ~ 1193:0:0 です デフォルトは 1 時間 (1:0:0) です 接続がタイムアウトしないようにするには 0 を使用します hh:mm:ss タイムアウト値を時 分 秒で指定します 接続がタイムアウトにならないようにするには 0 を使用します ( 可能な場合 ) h225 ( 任意 )H.225 シグナリング接続が終了するまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 1 時間 (1:0:0) です タイムアウト値を 0:0:01 に設定すると タイマーがディセーブルになり すべてのコールが消去された後 TCP 接続がすぐに終了します h323 ( 任意 )H.245(TCP) および H.323(UDP) メディア接続が終了するまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため H.245(TCP) 接続は H.323(RTP および RTCP) メディア接続とアイドルタイムアウトを共有します half-closed ( 任意 )TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します 有効な値は 0:5:0 ~ 1193:0:0 です デフォルトは 10 分 (0:10:0) です 接続がタイムアウトしないようにするには 0 を使用します icmp ( 任意 )ICMP のアイドル時間を指定します 有効な値は 0:0:02 ~ 1193:0:0 です デフォルトは 2 秒 (0:0:02) です inactivity ( 任意 ) 無活動タイムアウトになった場合は uauth 再認証を求めます mgcp mgcp-pat rpc sip ( 任意 )MGCP メディア接続が削除されるまでのアイドル時間を設定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です ( 任意 )MGCP PAT 変換が削除されるまでの絶対間隔を設定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です ( 任意 )RPC スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:05:0) です ( 任意 )SIP 制御接続が閉じられるまでのアイドル時間を指定します 有効な値は 0:5:0 ~ 1193:0:0 です デフォルトは 30 分 (0:30:0) です 接続がタイムアウトしないようにするには 0 を使用します 31-42

43 第 31 章 timeout sip-disconnect sip-invite sip_media ( 任意 )CANCEL または BYE メッセージに対して 200 OK が受信されない場合 SIP セッションが削除されるまでのアイドル時間を指定します 有効な値は 0:0:1 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です ( 任意 )PROVISIONAL 応答およびメディア xlates のピンホールが閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 3 分 (0:3:0) です ( 任意 )SIP メディア接続が閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です 接続がタイムアウトしないようにするには 0 を使用します SIP メディアタイマーが UDP 非アクティビティタイムアウトの代わりに SIP UDP メディアパケットを扱う SIP RTP/RTCP で使用されます sip-provisional-media ( 任意 )SIP 暫定メディア接続のタイムアウト値を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です sunrpc ( 任意 )SUNRPC スロットが閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 10 分 (0:10:0) です 接続がタイムアウトしないようにするには 0 を使用します tcp-proxy-reassembly ( 任意 ) バッファに格納された再構成待ちのパケットがドロップするまでのアイドルタイムアウトを指定します 有効な値は 0:0:10 ~ 1193:0:0 です デフォルトは 1 分 (0:1:0) です uauth ( 任意 ) 認証および認可キャッシュがタイムアウトするまでの継続時間を指定します ユーザは 次回の接続時に再認証を必要とします 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です デフォルトのタイマーは absolute です inactivity キーワードを入力すると 無活動の期間後にタイムアウトが発生するように設定できます uauth 継続時間は xlate 継続時間より短く設定する必要があります キャッシュをディセーブルにするには 0 に設定します 接続に受動 FTP を使用している場合 または Web 認証に virtual http コマンドを使用している場合は 0 を使用しないでください udp ( 任意 )UDP スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です 接続がタイムアウトしないようにするには 0 を使用します xlate ( 任意 ) 変換スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 3 時間 (3:0:0) です デフォルト デフォルトは次のとおりです conn hh:mm:ss は 1 時間 (1:0:0) です h225 hh:mm:ss は 1 時間 (1:0:0) です h323 hh:mm:ss は 5 分 (0:5:0) です half-closed hh:mm:ss は 10 分 (0:10:0) です icmp hh:mm:ss は 2 秒 (0:0:2) です mgcp hh:mm:ss は 5 分 (0:5:0) です mgcp-pat hh:mm:ss は 5 分 (0:5:0) です rpc hh:mm:ss は 5 分 (0:5:0) です sip hh:mm: は 30 分 (0:30:0) です sip-disconnect hh:mm:ss は 2 分 (0:2:0) です 31-43

44 timeout 第 31 章 sip-invite hh:mm:ss は 3 分 (0:3:0) です sip_media hh:mm:ss は 2 分 (0:2:0) です sip-provisional-media hh:mm:ss は 2 分 (0:2:0) です sunrpc hh:mm:ss は 10 分 (0:10:0) です tcp-proxy-reassembly hh:mm:ss は 1 分 (0:1:0) です uauth hh:mm:ss は 5 分 (00:5:00)absolute です udp hh:mm:ss は 2 分 (00:02:00) です xlate hh:mm:ss は 3 時間 (03:00:00) です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーションモード ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) mgcp-pat sip-disconnect および sip-invite キーワードが追加されま した 7.2(4)/8.0(4) sip-provisional-media キーワードが追加されました 7.2(5)/8.0(5)/8.1(2)/8.2(1) tcp-proxy-reassembly キーワードが追加されました 使用上のガイドライン timeout コマンドを使用すると グローバルタイムアウトを設定できます 一部の機能では set connection timeout コマンドを実行すると このコマンドで指定されたトラフィックを優先します timeout コマンドの後ろにキーワードと値を複数入力できます 接続タイマー (conn) は 変換タイマー (xlate) に優先します つまり 変換タイマーは すべての接続がタイムアウトした後に初めて動作します 例 次の例では アイドル状態の最大継続時間を設定する方法を示します hostname(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity hostname(config)# show running-config timeout timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity 31-44

45 第 31 章 timeout 関連コマンド コマンド 説明 clear configure timeout タイムアウトコンフィギュレーションを消去し デフォルトにリセットします set connection timeout モジュラポリシーフレームワークを使用して 接続タイムアウトを設定します show running-config timeout 指定されたプロトコルのタイムアウト値を表示します 31-45

46 timeout(aaa サーバホスト ) 第 31 章 timeout(aaa サーバホスト ) AAA サーバとの接続の確立を中止するまでの ホスト固有の最大応答時間を秒単位で設定するには aaa-server ホストモードで timeout コマンドを使用します タイムアウト値を削除して タイムアウト時間をデフォルト値の 10 秒にリセットするには このコマンドの no 形式を使用します timeout seconds no timeout 構文の説明 seconds 要求に対するタイムアウト間隔 (1 ~ 60 秒 ) を指定します この時間を超えると 適応型セキュリティアプライアンスはプライマリ AAA サーバへの要求を断念します スタンバイ AAA サーバが存在する場合 適応型セキュリティアプライアンスは要求をそのバックアップサーバに送信します デフォルト デフォルトのタイムアウト値は 10 秒です 次の表は このコマンドを入力できるモードを示しています AAA サーバホストコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このコマンドは すべての AAA サーバプロトコルタイプに有効です 適応型セキュリティアプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには timeout コマンドを使用します retry-interval コマンドを使用して 適応型セキュリティアプライアンスが接続を試行する間隔を指定します タイムアウトは 適応型セキュリティアプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です リトライ間隔は タイムアウト期間中に通信が再試行される頻度を決定します したがって リトライ間隔がタイムアウト値以上の場合 再試行されません 再試行する場合は リトライ間隔をタイムアウト値よりも小さくする必要があります 31-46

47 第 31 章 timeout(aaa サーバホスト ) 例 次の例では ホスト 上の svrgrp1 という名前の RADIUS AAA サーバに タイムアウト値 30 秒 リトライ間隔 10 秒を設定します したがって 適応型セキュリティアプライアンスは 30 秒後に中止するまで通信を 3 度試行します hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host hostname(config-aaa-server-host)# timeout 30 hostname(config-aaa-server-host)# retry-interval 10 hostname(config-aaa-server-host)# 関連コマンド コマンド 説明 aaa-server host AAA サーバホストコンフィギュレーションモードに入って ホスト固有の AAA サーバパラメータを設定できるようにします clear configure aaa-server すべての AAA コマンドステートメントをコンフィギュレーションから削除します show running-config aaa 現在の AAA コンフィギュレーション値を表示します 31-47

48 timeout(dns サーバグループコンフィギュレーションモード ) 第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 次の DNS サーバを試すまで待機する時間を指定するには DNS サーバグループコンフィギュレーションモードで timeout コマンドを使用します デフォルトのタイムアウトに戻すには このコマンドの no 形式を使用します timeout seconds no timeout [seconds] 構文の説明 seconds タイムアウトを秒単位で指定します (1 ~ 30 秒 ) デフォルトは 2 秒です 適応型セキュリティアプライアンスが一覧のサーバを試すたびに このタイムアウトは倍増します 再試行の回数を設定するには DNS サーバグループコンフィギュレーションモードで retries コマンドを使用します デフォルト デフォルトのタイムアウトは 2 秒です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 例 次の例では DNS サーバグループの dnsgroup1 に対してタイムアウトを 1 秒に設定しています hostname(config)# dns server-group dnsgroup1 hostname(config-dns-server-group)# dns timeout

49 第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 関連コマンド コマンド 説明 clear configure dns ユーザが作成したすべての DNS サーバグループを削除して デフォルトのサーバグループのアトリビュートをデフォルト値にリセットします domain-name デフォルトのドメイン名を設定します retries 適応型セキュリティアプライアンスが応答を受信しないときに DNS サーバのリストを再試行する回数を指定します show running-config dns server-group 現在の実行中の DNS サーバグループコンフィギュレーションを表示します 31-49

50 timeout(gtp マップ ) 第 31 章 timeout(gtp マップ ) GTP セッションの非アクティビティタイマーを変更するには GTP マップコンフィギュレーションモードで timeout コマンドを使用します このモードには gtp-map コマンドを使用してアクセスできます これらの間隔にデフォルト値を設定するには このコマンドの no 形式を使用します timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss no timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss 構文の説明 hh:mm:ss gsn pdp-context request signaling t3-response tunnel これはタイムアウトで hh は時間 mm は分 ss は秒を示し これら 3 つの要素はコロン (:) で分けられます 値 0 は すぐには絶対に終了しないことを意味します GSN が削除されるまでの非アクティビティの継続時間を指定します PDP コンテキストの受信を開始するまでの 許可される最大時間を指定します GTP メッセージの受信を開始するまでの 許可される最大時間を指定します GTP シグナリングが削除されるまでの非アクティビティの継続時間を指定します GTP 接続が削除されるまでに応答を待つ最長時間を指定します GTP トンネルが終了するまでの非アクティビティの継続時間を指定します デフォルト デフォルトは gsn pdp-context および signaling に対して 30 分です request のデフォルトは 1 分です tunnel のデフォルトは 1 時間です (Delete PDP Context Request を受信していない場合 ) 次の表は このコマンドを入力できるモードを示しています GTP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 31-50

51 第 31 章 timeout(gtp マップ ) 使用上のガイドライン Packet Data Protocol(PDP) コンテキストは IMSI と NSAPI の組み合わせである Tunnel Identifier (TID; トンネル識別子 ) によって識別されます 各 MS は最大 15 の NSAPI を持つことができ さまざまな QoS レベルのアプリケーション要件に基づいて それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます GTP トンネルは 異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され 1 つのトンネル ID によって識別されます GTP トンネルは 外部パケットデータネットワークとモバイルステーションユーザの間でパケットを転送するために必要です 例 次の例では 要求キューに対して 2 分のタイムアウト値を設定します hostname(config)# gtp-map gtp-policy hostname(config-gtpmap)# timeout request 00:02:00 関連コマンド コマンド 説明 clear service-policy グローバルな GTP 統計情報をクリアします inspect gtp debug gtp GTP インスペクションの詳細情報を表示します gtp-map GTP マップを定義し GTP マップコンフィギュレーションモードをイネーブルにします inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用します show service-policy inspect gtp GTP コンフィギュレーションを表示します 31-51

52 timeout(radius アカウンティング ) 第 31 章 timeout(radius アカウンティング ) RADIUS アカウンティングのユーザの非アクティビティタイマーを変更するには RADIUS アカウンティングパラメータコンフィギュレーションモードで timeout コマンドを使用します このモードには inspect radius-accounting コマンドを使用してアクセスできます これらの間隔にデフォルト値を設定するには このコマンドの no 形式を使用します timeout users hh:mm:ss no timeout users hh:mm:ss 構文の説明 hh:mm:ss users これはタイムアウトで hh は時間 mm は分 ss は秒を示し これら 3 つの要素はコロン (:) で分けられます 値 0 は すぐには絶対に終了しないことを意味します デフォルトは 1 時間です ユーザのタイムアウト値を指定します デフォルト ユーザのデフォルトのタイムアウト値は 1 時間です 次の表は このコマンドを入力できるモードを示しています RADIUS アカウンティングパラメータコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 例 次の例では ユーザのタイムアウト値を 10 分に設定します hostname(config)# policy-map type inspect radius-accounting ra hostname(config-pmap)# parameters hostname(config-pmap-p)# timeout user 00:10:00 関連コマンド コマンド inspect radius-accounting parameters 説明 RADIUS アカウンティングのインスペクションを設定します インスペクションポリシーマップのパラメータを設定します 31-52